Ernst & Young 发布的网络安全报告充满幻觉

# 调查：安永报告中关于忠诚度欺诈的幻觉引用 | GPTZero 来源：https://gptzero.me/investigations/ey GPTZero调查·独家 ## 追逐幻觉 安永（EY）加拿大分公司发布了一份关于忠诚度计划保护措施的网络安全报告。我们追踪了每一项引用。大多数都是幻觉虚构的。 Om Ogale (https://www.linkedin.com/in/om-ogale/) 今年早些时候，GPTZero的一位工程师创造了“氛围引用”一词，用来描述通过LLM幻觉意外创建虚假参考文献的现象。事实证明，创建和核对引用的摩擦正在导致许多研究人员、顾问、律师和公职人员拥抱这种氛围（如果你懂我们的意思）。 皈依者中包括安永2025年报告《攻击点：揭示忠诚度系统中的网络威胁与欺诈》的作者。这份充斥着虚假引用和不准确声明的报告，正在出现在报纸、博客文章和AI搜索概览中，毒害着人类研究员和AI代理所依赖的数据。 GPTZero在2025年开始使用我们的幻觉检查工具来瞄准氛围引用，我们用它进一步调查了一份政府出版物、两份不同的德勤报告 (https://gptzero.me/news/deloitte-australia-citation-check/)，以及著名的机器学习/人工智能会议如NeurIPS (https://fortune.com/2026/01/21/neurips-ai-conferences-research-papers-hallucinations/) 和ICLR (https://betakit.com/start-up-investigation-reveals-50-peer-reviewed-papers-contained-hallucinated-citations/)。在过去几个月里，我们建立了一个自动化管道，通过查找和扫描主要咨询公司的公开报告来搜索氛围引用。我们的发现表明，氛围引用疫情已经流行，甚至在大公司中也是如此。 我们不会一次发布所有结果，而是每次聚焦一份报告。这种方法既可以防止个别例子被忽视，也让我们能够说明氛围引用对研究质量和公众信任的负面影响。 ## 菜单上：安永（EY） 安永是全球“四大”咨询公司之一，在全世界150个办事处为政府和私营实体提供会计和咨询服务。加拿大成员所（安永加拿大）每年为加拿大政府提供价值数百万美元的服务 (https://search.open.canada.ca/contracts/?sort=contract_date+desc&page=1&search_text=%22ERNST+%26+YOUNG%22&year=2024%7C2025)。 2025年底，安永加拿大发布了一份44页的网络安全报告，题为《攻击点：揭示忠诚度系统中的网络威胁与欺诈》。尽管署名作者是三名员工（两位合伙人和一位高级经理），但该文件是氛围引用、错误归属、虚假统计数据和AI生成文本的拼凑。 封面——安永《攻击点》报告 封面——安永《攻击点》报告 ## 为什么氛围很糟糕 安永加拿大的报告没有使用脚注或正常的学术引用。相反，它直接在文本中引用来源，并/或将其包含在资源表格中（第41-43页）。该表格为所有来源提供了标题、描述和URL，某些情况下还有出版方和日期。几乎所有URL都是无效或虚假的，超过一半的标题不对应真实来源。 GPTZero使用非常具体的定义，因为误报可能会带来声誉成本（对我们和报告作者都是如此）。我们团队的一名成员手动验证了幻觉检查的结果以确保准确性。 在之前对学术会议投稿的分析中，我们发现许多作者主要使用AI生成和格式化参考文献，导致论文有氛围引用但整体AI文本分数较低。 然而，在《攻击点》中很难找到人类痕迹——甚至比找到人类撰写的LinkedIn帖子 (https://gptzero.me/ai-vision) 还要难。文本不仅看起来是AI生成的，还充满了常见的LLM错误，如虚假统计数据、错误归属和内部矛盾。 安永报告，第4页 ### 执行摘要中的大胆声明 在报告的执行摘要中，作者声称全球忠诚度积分市场规模为2000亿美元，并且其中30-50%的积分未被使用。 安永报告，第42页 ### 一个虚假的福布斯引用 我们刚刚看到的引用支持了作者最初关于2000亿美元全球市场的声明。 安永报告，第10页 ### 相互矛盾的声明 然而在第10页，2000亿美元这个数字现在被估计为未兑换的忠诚度积分价值，而不是全球所有积分的总价值。既然作者已经声称高达50%的积分未兑换，这个新统计数据要求全球市场价值至少为4000亿美元。 安永报告，第43页 ### 第二个捏造的引用：麦肯锡 往下几行，一份捏造的麦肯锡公司报告为后一个说法提供了证据——2000亿美元作为全球未兑换积分的价值。两个虚构的引用，两个不一致的数字。 我们将这个麦肯锡引用的来源追查到一篇不起眼的金融科技博客文章 (https://financialit.net/blog/rewardsinnovation-loyaltyeconomy/points-value-why-were-unlocking-true-value-rewards)，由Financial IT发布，比安永报告早六个月。 Financial IT，第1页 ### 类似的声明 在安永报告六个月前，英国不起眼的金融科技杂志Financial IT上的一篇博客文章 (https://financialit.net/blog/rewardsinnovation-loyaltyeconomy/points-value-why-were-unlocking-true-value-rewards) 声称“每年有超过2000亿美元的积分闲置”。措辞与安永报告几乎相同。 Financial IT，第3页 ### 氛围完全相同 博客的资料来源部分引用了“McKinsey & Company: Loyalty Economics Report (2022)”——一份不存在的报告。这个捏造的引用逐字出现在安永报告的参考表格中，将一个低质量博客中虚构的来源洗钱成四大事务所的出版物。 报告中一些最可疑的声明甚至根本没有引用。 安永报告，第6页 ### 来源归因于Paystone 在第6页，作者声称72%的客户忠诚度计划报告过盗窃或欺诈。这一事实归因于加拿大支付处理商Paystone 2019年的一篇文章 (https://www.paystone.com/resources/3-types-of-loyalty-fraud-and-how-to-prevent-them)。 安永报告，第11页 ### 实际上，来源是Forter 然而在第11页，同一统计数据归因于不同的来源——由数字防欺诈公司Forter发布的名称异常的“NRF 2020摘要 (https://www.forter.com/blog/nrf20/)”。这两个来源都没有包含在报告的参考表格中。事实上，虽然该统计在Paystone和Forter页面上都有引用，但原始来源似乎是Ipsos 2017年的一项调查。 相互矛盾的参考文献、低质量的来源和过时的统计数据都是AI垃圾的迹象。 安永报告，第6页 ### 89%的声明 在第6页，作者声称自2019年以来，忠诚度计划欺诈攻击增加了89%。 安永报告，第11页 ### 这个声明的特定来源 然而在第11页，这89%的增长被限制在一年内，即2018年至2019年，并且该统计数据归因于一个特定来源：Forter欺诈攻击指数 (https://cdn2.hubspot.net/hubfs/2776164/Fraud%20Attack%20Index%20Seventh%20Edition%202019/Forter-Fraud-Attack-Index-Seventh-Edition.pdf)。令人惊讶的是，这个来源既存在又部分证实了第二个版本的说法。然而，像安永报告中使用的许多来源一样，它已经严重过时。糟糕的改述统计数据也是AI垃圾的标志。 ## 为什么氛围重要 很难衡量安永报告的公众影响。《攻击点》似乎在加拿大没有引起太大波澜；然而，它最近被《堪培拉时报》的一篇文章 (https://www.canberratimes.com.au/story/9168790/new-phishing-scam-targets-qantas-loyalty-points/) 引用，该文章被联合供稿给澳大利亚60多家报纸。它还可能通过客户简报、内部演示文稿和其他不在公共领域的专有媒体传播。然而，氛围引用不仅欺骗读者或企业受众——它们还有另一个更隐蔽的影响。 在线发布报告本质上是一种向互联网知识池注入数据的形式。当报告包含虚假信息（无论是氛围引用还是错误声明）时，它可能会“毒化水井”，误导未来的研究人员，特别是如果报告是由知名咨询公司发布并托管在高流量网站上。 AI“深度研究”工具的出现加剧了这一风险，这些工具在选择来源时依赖于与人类不同的信号，因此更容易受到数据毒化的影响。 结论 ## GPTZero正在追逐氛围（引用） 我们过去几个月的研究证明，氛围引用对研究人员、学者、顾问以及（坦率地说）任何通过搜索网络从数字池中饮水的人来说，都是一个明确而现实的危险。我们的幻觉检查工具是我们应对这一威胁的答案：一种无需手动检查每个引用就能识别氛围引用和幻觉的方法。它已经被用于筛查IJCAI、ICLR和ICSE等精英学术会议的投稿。 现在，比以往任何时候都更疯狂的是盲目相信引用——即使是来自像安永这样信誉良好的来源。 亲自尝试GPTZero的幻觉检查 (https://gptzero.me/hallucination-detector)，或联系GPTZero团队 (https://gptzero.me/sales)。 Om Ogale (https://www.linkedin.com/in/om-ogale/) 作者：Om Ogale (https://www.linkedin.com/in/om-ogale/)